SEGURIDAD EN LA BIOS.


Introducción.

La protección con contraseñas para la BOS (o equivalentes al BIOS) y el gestor de arranque, pueden ayudar a prevenir que usuarios no autorizados que tengan acceso físico a nuestros sistemas, arranquen desde medios removibles u obtengan acceso como root a través del modo monousuario. Pero las medidas de seguridad que uno debería tomar para protegerse contra tales ataques dependen tanto de la confidencialidad de la información que las estaciones tengan como de la ubicación de la máquina.

En este ejercicio vamos a basarnos en la seguridad por la BIOS.

UEFI. Nuevos standars para la BIOs.

Qué es la UEFI?. La UEFI (Unified Extensible Firmware Interface) es una interfaz de firmware estándar para PCs, diseñada para reemplazar la BOS (sistema básico de entrada y salida). Es un estándar creado por más de 140 compañías tecnológicas que forman parte del consorcio UEFI, en el que se incluye Microsoft. Se ha diseñado para mejorar la interoperabilidad del software y solucionar las limitaciones del BIOS. Algunas de las ventajas que ofrece el firmware UEFI son:

  • Mayor seguridad, ya que ayuda a proteger el proceso previo al inicio (o pre-arranque) frente a ataques de bootkit.
  • Tiempos de inicio y reanudación desde la hibernación más rápidos.
  • Compatibilidad con unidades de más de 2,2 terabytes (TB).
  • Compatibilidad con modernos controladores de dispositivos de firmware de 64 bits que el sistema puede usar para direccionar más de 17,2 mil millones de gigabytes (GB) de memoria durante el inicio.
  • Capacidad para usar la BIOS con hardware UEFI.

Medidas de protección.

Cuando hablamos de protección de la Bios, se nos viene a la cabeza introducir o poner una contraseña para el acceso a la misma o para que se inicie el gestor de arranque.

Cuando hablamos de seguridad, no debemos pensar en el valor de equipos ( siempre reemplazable y asegurable ) sino en los datos ( muchos de ellos imposibles de reemplazar ). Es por ello que nuestra visión de la seguridad debe ir encaminada hacia los datos. Veremos una BIOS de un notebook de hp donde es esta la visión de los ingenieros de sistemas.

La BIOS. Opciones

Qué podemos cambiar?, Qué no conviene olvidar?

Empecemos. Para acceder, nada más encenderlo, pulsaremos F10 o la tecla Esc. En este modelo


Pulsamos F10 y entramos a la BIOS.


Nos vamos a la ficha Security


Security (Seguridad) – Podemos ajustar algunas contraseñas y acceder a algunas utilidades protegidas con contraseña desde este menú.

ADVERTENCIA: Algunas contraseñas, tales como la contraseña de bloqueo de disco duro o de inicio del equipo, no se pueden recuperar. Si olvidamos esas contraseñas, tendremos que enviar el equipo a SAT para su restauración, pero todos los datos en el equipo se perderán en el proceso. Este servicio no está cubierto por la garantía y se le cobrará una tarifa por el mismo.

  • HP SpareKey Enrollment – Es una utilidad que le puede ayudar a recuperar las contraseñas de nivel de sistema, como la contraseña de bloqueo de disco duro o del inicio
  • Drive Lock passwords (contraseñas de bloqueo de disco duro) – Protegen los datos de su disco duro a través de encriptación. No se puede acceder a los datos en el disco duro si no se ingresa la contraseña de bloqueo de disco duro. En forma predeterminada, la contraseña de bloqueo de disco duro está desactivada. Esta si es una medida muy efectiva, pues nuestros datos están encriptados.
  • Power-on passwords (contraseñas de inicio) – Evitan que cualquiera inicie el equipo hasta que ingrese la contraseña correspondiente. Con la contraseña de inicio activada, la pantalla permanece en negro y pide una contraseña en el momento en que se enciende el equipo. La contraseña de inicio se encuentra desactivada de forma predeterminada.

Si entramos en la primera opción System Bios Administration password tendremos este ayuda


Y podremos cambiarla. Como siempre, nos fuerza a repertirla para evitar equivocaciones.


También podemos confeccionar a nuestro gusto la política de contraseñas.


En la opción Hp sparekey Enrollment , podemos definir tres preguntas en caso de olvidar nuestras contraseñas. Así mismo podemos resetearlas , si sabemos nuestra contraseña de administrador por supuesto.



Si no nos gustan, podemos definirlas a nuestro modo J

Y la opción que se nos antoja más interesante . La encriptación y acceso al disco duro.


Si lo habilitamos se procederá al encriptado del disco. Si perdemos la contraseña, perdemos los datos.

Por último

tpm embedded security

El TPM es un sistema que utiliza una clave raíz protegida en un chip de silicio para mejorar el archivo o seguridad del sistema operativo Microsoft ™ nativos y cifrado de la carpeta , así como sentar las bases para la autenticación de TPM para habilitar PCs a la red corporativa .

Características

Embedded Security for HP ProtectTools es un chip de hardware , llamado Módulo de plataforma segura ( TPM) que se implementa en la placa base de los PC’s de empresas (negocios), y está disponible como una opción de configuración sobre pedido en algunos equipos de escritorio y estaciones de trabajo .

Embedded software Security Manager para HP ProtectTools tiene dos funciones principales :

  • Controlar el funcionamiento básico de Embedded Security for ProtectTools ( habilitación, propiedad y más)
  • Proporcionar un cifradro sencillo para archivos y carpetas
  • Cada chip de Embedded Security del TPM es único y está enlazado a un sistema específico
  • Cada chip realiza el encriptado o proceso de encriptado de seguridad independiente de otros componentes de la plataforma (como el procesador, la memoria o el sistema operativo )

Beneficios

  • Embedded Security for HP ProtectTools crea una clave de cifrado de la raíz única ( números aleatorios ) y lo almacena en el silicio – muy difícil de crackear
  • Tarjeta inteligente ” virtual ” , puede complementar algunas funciones en los despliegues de identificación de tarjetas inteligentes / tokens
  • Realza otros productos de seguridad , tales como tarjetas inteligentes , identificación de huellas dactilares, etc
  • Puede reforzar la autenticación de usuario inalámbrico y la protección de datos y la integridad ( amenazas límite spoofing )
  • El cifrado de archivos y carpetas – ayuda a proteger los datos locales, así como compartir a través de Internet
  • TPM fortaleció correo electrónico cifrado – clave de cifrado principal para el correo electrónico de forma segura generada y almacenada por TPM
  • Puede ayudar a controlar las máquinas que se conectan a la red y / o limitar corporativo derechos de acceso
  • Puede ayudar a reducir la piratería ( ataques al sistema , denegación de servicio, ataques de red )

Como podemos ver hace algunos años era impensable tal grado de protección desde la Bios.

Hoy los sistemas que incorporan UEFi son más seguras. Microsoft en un afán de monopolio y seguridad quiso impedir que se ejecutaran sistemas operativos sin un certificado de confianza Muchas distros de Linux, se verían afectadas.

Esto significa que tanto el firmware como el software utilizado en el proceso de arranque debe ser firmado por una autoridad con certificación de confianza, que no está disponible en los gestores de arranque EFI Linux. Así que, básicamente, si compramos un equipo que incluye las claves del fabricante y las claves de Microsoft, no seremos capaces de arrancar una distribución de Linux.

Para conseguir un arranque seguro UEFI en una distribución de Linux, un gestor de arranque no-GPL sería necesario y ya que en un futuro próximo el núcleo en sí será una parte del gestor de arranque, el núcleo tendría que ser firmado también, lo que significa que, no será capaz de compilar un kernel personalizado.

La comunidad de Linux, se opuso a esto y el desarrollador (ex-empleado de Red Hat) Matthew Garret lanzó una nueva versión de la herramienta Shim Secure Boot, que permite instalar cualquier distribución Linux en equipos protegidos con el firmware UEFI.

Garrett ha logrado que Microsoft apruebe el código binario de Shim Secure Boot y su herramienta pueda ser ejecutada por prácticamente todos los firmwares UEFI del mercado.

Según explica Garret, las distribuciones Linux sólo necesitan firmar sus bootloaders UEFI con una llave propia que luego proporcionarán a sus clientes, y estos deberán introducirla al emplear Shim para poder instalar Linux en equipos con arranque seguro, como puede ser el caso de aquellos gobernados por el nuevo Windows 8.

Gracias a ello los distribuidores no necesitan que sus bootloaders hayan sido firmados por Microsoft.

En Resumen

Desde la Bios podemos controlar el acceso al sistema por medio de contraseña, ahora bien de nada nos serviría si no deshabilitamos el arranque desde otros medios ( red, usb, lectores, etc ) ya que son canales de entrada que pueden vulnerar nuestro sistema.

Una buena encriptación de los datos, es más que recomendable.

Acerca de Rafael Quintana

Con ganas de compartir y de aprender
Galería | Esta entrada fue publicada en Informática e Internet, Seguridad y etiquetada , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s